Dzisiaj, by uprzyjemnić czas wakacji tym, którzy w ten lipcowy poniedziałek pracują, publikujemy tekst mniej techniczny. Opiszemy dwa przypadki powiązane z kradzieżą informacji. Jeden będzie historią hakera, który sam zainfekował własny komputer narzędziem do kradzieży informacji, co pozwoliło izraelskiej firmie wywiadowczej Hudson Rock rozgryźć jego tożsamość. Drugi będzie opisem niedawnego odkrycia Cyfirm – zaawansowanego i jednocześnie bardzo wyszukanego malware do kradzieży danych o nazwie Mystic Stealer. No to po kolei…
La_Citrix (nieostrożny haker)
Używając internetowego pseudonimu „La_Citrix”, cyberprzestępca aktywnie działa na rosyjskojęzycznych forach hakerskich od 2020 roku. Oferuje dostęp do infrastruktury skompromitowanych firm oraz skradzionych informacji.
Hudson Rock w swojej notatce twierdzi, iż odkrył działalność La_Citrix, kiedy ten włamywał się do nieokreślonej w publikacji organizacji. Celem hakera były serwery Citrix, VPN i RDP, do których teraz sprzedaje nielegalny dostęp.
Przestępca, jak twierdzi firma zajmująca się cyberbezpieczeństwem, był na tyle nieostrożny, iż zainfekował własny komputer narzędziem do kradzieży informacji i sprzedał dostęp do swojej maszyny. Pozwoliło to firmie Hudson Rock zbadać urządzenie używane do przeprowadzania włamań do setek firm. Sprzęt zawierał poświadczenia pracowników w prawie 300 organizacjach, a przeglądarka przechowywała poświadczenia korporacyjne używane do przeprowadzania włamań.
Według Hudson Rock, La_Citrix zatrudniał osoby kradnące informacje w celu eksfiltracji danych uwierzytelniających firmy, które były następnie wykorzystywane do uzyskiwania dostępu do sieci organizacji bez autoryzacji. Dalsza analiza komputera cyberprzestępcy pomogła firmie odkryć również ich prawdziwą tożsamość i lokalizację.
„Dane z komputera La_Citrix, takie jak zainstalowane oprogramowanie, ujawniają prawdziwą tożsamość hakera, jego adres, numer telefonu i inne obciążające dowody, takie jak qTox, znany komunikator używany przez grupy ransomware, instalowany na komputerze”, twierdzi dalej Hudson Rock w swojej notce.
Zresztą La_Citrix nie jest podobno osamotniony. Izraelska firma twierdzi, iż ma wiedzę o tysiącach hakerów, którzy przypadkowo zainfekowali swoje komputery złośliwym oprogramowaniem i oczywiście przekaże odkryte dowody odpowiednim organom ścigania.
„To nie pierwszy raz, gdy zidentyfikowaliśmy hakerów, którzy przypadkowo zostali narażeni na szwank przez osoby kradnące informacje, i spodziewamy się, iż liczba infekcji takich osób będzie rosła wykładniczo” — chwali się dalej izraelska firma.
Mystic Stealer (wyrafinowany malware)
Zgodnie z ostrzeżeniem firmy Cyfirm, nowe złośliwe oprogramowanie do kradzieży informacji gwałtownie staje się popularne wśród hakerów na znanych podziemnych forach. Mystic Stealer po raz pierwszy wykryto w kwietniu 2023 r., kiedy zostało udostępnione doświadczonym cyberprzestępcom do testów.
Badacze Cyfirm śledzący ewolucję złośliwego systemu odkryli, iż programista zaktualizował narzędzie do kradzieży informacji w oparciu o opinie, co doprowadziło do gwałtownego wzrostu rozpowszechniania, przy czym do tej pory zidentyfikowano ponad 50 aktywnych serwerów dowodzenia i kontroli (C&C).
Napisany w C i przeznaczony dla systemu Windows Mystic Stealer wykorzystuje manipulację kodem i działa w pamięci, aby uniknąć wykrycia. Oprogramowanie posługuje się wywołaniami systemowymi i właśnie to pozwala mu uniknąć pozostawiania śladów infekcji.
Opisywany malware nie korzysta z bibliotek innych firm, zawiera samodzielnie napisany parser bazy danych przeglądarki i został zaprojektowany do wyszukiwania interesujących danych przed kompresją, szyfrowaniem i eksfiltracją.
Deweloper Mystic Stealer zapewnia cyberprzestępcom również narzędzie do kastomizacji, które można wdrożyć na ich własnym serwerze w celu dostosowania złośliwego systemu do ataków. Panel C&C daje użytkownikom Mystic Stealer kontrolę nad złośliwym oprogramowaniem i procesem gromadzenia danych.
Według Cyfirmy program jest w stanie przejąć hasła, pliki cookie, karty kredytowe i inne informacje z przeglądarek i rozszerzeń portfela kryptowalut, hasła i pliki Outlook, a także może robić zrzuty ekranu i gromadzić informacje systemowe.
Mystic Stealer to wyrafinowane złośliwe oprogramowanie ewoluujące w oparciu o zalecenia otrzymane od znanych cyberprzestępców, przez co może stać się poważnym zagrożeniem dla firm zajmujących się danymi osobowymi i dokumentacją finansową, w tym firm zajmujących się opieką zdrowotną, finansami i technologiami.
„Oprócz tego Mystic Stealer jest skierowany w szczególności do osób zaangażowanych w transakcje kryptowalutowe. Obejmuje to użytkowników portfeli kryptowalut, handlowców i osoby zajmujące się »wydobyciem«. Złośliwe oprogramowanie ma na celu kradzież portfeli kryptowalut, kluczy prywatnych lub danych logowania w celu uzyskania nieautoryzowanego dostępu do tych zasobów” – zauważa Cyfirma.
Podsumowanie
Oczywiście z tych dwóch pozornie niezwiązanych ze sobą historii każdy może wyciągnąć własne wnioski. Dla nas zastanawiające jest przede wszystkim to, jak zmienia się krajobraz cyberprzestępczy. Ewolucja następuje od hakerów „samotnych wilków” – niepowiązanych z nikim samotników – do prawdziwych grup fokusowych na forach w darknecie, które wpływają na kształt projektowanych aplikacji do kradzieży informacji. I właśnie ta „profesjonalizacja” działań przestępczych może być wbrew pozorom pomocna, bo czasem na tacy dostajemy listę współpracowników – tak jak w przypadku La_Citriksa.